Перейти к содержанию

шифровальщик savefile365@nuke.africa

Yazon
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки скорее всего нет.

Пароли на RDP смените.

 

Очистим хвосты и мусор:

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\Run: [Windows Update Manager] => C:\Users\Татьяна\AppData\Roaming\winupmgr.exe [44544 2020-07-25] () [File not signed]
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\Run: [mJufM] => C:\Users\Татьяна\Инструкция.TXT [3004 2020-07-25] () [File not signed]
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {42664145-cef1-11e9-8f67-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {4a76a01c-ba6d-11e9-adbf-e03f4946e60e} - F:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {9bb3276f-4ef6-11ea-943e-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {9bb327b6-4ef6-11ea-943e-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582713-a46e-11e9-a38d-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582725-a46e-11e9-a38d-e03f4946e60e} - F:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582738-a46e-11e9-a38d-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a2127c37-cef0-11e9-8a16-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {ba8e450e-a6ca-11e9-9f9e-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {fd2905ac-af71-11e9-a918-e03f4946e60e} - E:\start.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3824878808-928637892-3016472417-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-3824878808-928637892-3016472417-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
CHR HKU\S-1-5-21-3824878808-928637892-3016472417-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm]
2020-07-25 19:40 - 2020-07-25 22:59 - 000003004 _____ C:\Users\Татьяна\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 22:59 - 000003004 _____ C:\Users\Татьяна\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Гость\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Гость\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\rdp3\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\rdp3\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Все пользователи\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp3\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp3\Desktop\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Downloads\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Desktop\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Downloads\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Desktop\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Downloads\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\ProgramData\Documents\Инструкция.TXT
2020-07-25 19:26 - 2020-07-25 19:26 - 000003004 _____ C:\Program Files (x86)\Инструкция.TXT
2020-07-25 19:22 - 2020-07-25 19:22 - 000003004 _____ C:\Program Files\Инструкция.TXT
2020-07-25 19:21 - 2020-07-25 19:21 - 000044544 _____ C:\Users\Татьяна\AppData\Roaming\winupmgr.exe
FirewallRules: [{1AC71907-EE65-4DF8-A5BF-A389E6B2B115}] => (Allow) LPort=2869
FirewallRules: [{724626FA-006A-4C93-9B39-961124E2DC50}] => (Allow) LPort=1900
FirewallRules: [{C29B6E64-3154-4E55-A609-75B5C983A5A5}] => (Allow) LPort=9422
FirewallRules: [{9F03B1FC-FB88-43F4-B903-E780F0F80D9D}] => (Allow) LPort=9245
FirewallRules: [{46A1A6BD-A24E-4CD1-901D-991B7CDA7D9A}] => (Allow) LPort=9246
FirewallRules: [{38C97D62-820D-48A0-ACD2-70188919E6A0}] => (Allow) LPort=9247
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт выполните, т.к. вымогатель похоже ещё активен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • GreyEnterprises
      Шифровальщик .omerta
      Автор GreyEnterprises
      10.12.2018 в 12.55 по полудню, меньше чем за 5 минут, было зашифровано 14 Гб вордовских и экселевских документов. причиной тому стало открытие 445 порта во внешку и общего доступа к флэшке на 16 Гб. документы на остальных дисках успел сохранить. За такое короткое время менее 5 Мин, нереально полностью изменить содержание каждого файла. Предполагаю, что изменения файлу были применены незначительные из этого следует, что по содержанию данных в файле, возможно его восстановить.
      Резервных копий всех файлов нет.
      Так же не имею лицензии на Антивирус Касперского.
      Прошу помощи в расшифровке файлов.
      прикрепляю два файла из 1с оригинальное расширение *.mxl  (отчеты 1с 7.7)
      и текстовый файл который был создан в этой же папке.
       
      в архиве, пароль 1111

      p.s. В этой теме, случай восстановления данных был подтвержден пострадавшим. 
      https://forum.kasperskyclub.ru/index.php?showtopic=60777&hl=omerta
      1111.rar
    • ksann
      Вирус шифровальщик *.tribute
      Автор ksann
      Здравствуйте!
      Зашифровались файлы на сервере, теперь у них расширение - *.tribute
      Не встречался вам такой зверенок?
      Рядом остается файл - HOW TO RECOVER ENCRYPTED FILES.txt
      p9NCgWyuwcB8eH19pDrr=4O6.tribute.txt - зашифрованный файл, только без расширения "txt"Напишите пожалуйста если вам пришлось с ним встретиться, как решили проблему с расшифровкой файлов? 
      HOW TO RECOVER ENCRYPTED FILES.TXT
      p9NCgWyuwcB8eH19pDrr=4O6.tribute.txt
    • _Пэ_
      Поймали шифровальщик *.lol Возможно-ли расшифровать?
      Автор _Пэ_
      Здравствуйте.
      Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol
      Лог во вложении.
      CollectionLog-2018.12.20-13.18.zip
    • UserUser_39
      Шифровальщик Omerta зашифровал файлы ПОМОГИТЕ!
      Автор UserUser_39
      Возможно ли расшифровать??
      CollectionLog-2018.12.17-09.44.zip
×
×
  • Создать...